У всех в журнале событий windows 11 появилось ошибка TPM-WMI 1801 (Secure Boot CA/keys need to be updated. This device signature information is included here)?
Отписываюсь - после выполнения 3-х Ваших команд, те пункты, которые были "красные", теперь "позеленели", кроме одного пункта.
06 февраля 2026 года
Производитель: System manufacturer Модель: System Product Name Производитель BIOS: American Megatrends Inc. Версия и Название: 3005, 3005, Версия: ALASKA - 1072009 Версия Windows: 25H2 (Build 26200.7705)
Secure Boot Status: Enabled
Current UEFI PK - Текущее Значение Platform Key, Установленное в Вашей Системе. √ ASUSTeK MotherBoard PK Certificate
Default UEFI PK - Значение, Которое Идёт «с Завода». √ ASUSTeK MotherBoard PK Certificate
Current UEFI KEK - Текущее Значение Key Exchange Key (KEK) √ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False) <<----- √ ASUSTeK MotherBoard KEK Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Default UEFI KEK - KEK, Которые Идут «с Завода» Вместе с Default PK √ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False) √ ASUSTeK MotherBoard KEK Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Current UEFI DB - Текущее Значение Переменной DB (Authorized Signature Database) √ Microsoft Windows Production PCA 2011 (revoked: True) √ Microsoft Corporation UEFI CA 2011 (revoked: False) √ Windows UEFI CA 2023 (revoked: False) √ Microsoft UEFI CA 2023 (revoked: False) √ Microsoft Option ROM UEFI CA 2023 (revoked: False) <<----- √ ASUSTeK MotherBoard SW Key Certificate (revoked: False) √ ASUSTeK Notebook SW Key Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Default UEFI DB - Заводской Набор Доверенных Подписей, Который Идёт Вместе с Default PK и Default KEK √ Microsoft Windows Production PCA 2011 (revoked: True) √ Microsoft Corporation UEFI CA 2011 (revoked: False) √ Windows UEFI CA 2023 (revoked: False) √ Microsoft UEFI CA 2023 (revoked: False) X Microsoft Option ROM UEFI CA 2023 <<----- √ ASUSTeK MotherBoard SW Key Certificate (revoked: False) √ ASUSTeK Notebook SW Key Certificate (revoked: False) √ Canonical Ltd. Master Certificate Authority (revoked: False)
Current UEFI DBX - Текущее Значение Переменной DBX (Forbidden Signature Database)
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected Windows Bootmgr SVN : 7.0 <<----- Windows cdboot SVN : 3.0 <<----- Windows wdsmgfw SVN : 3.0 <<-----
. Для Продолжения Нажмите Любую Клавишу... ➤
Почему один пункт не "позеленел", не понятно... Кстати, у Вас такого пункта вообще нет! ---
UEFI Secure Boot Check===============
Secure Boot: ON BitLocker on (C:) OFF
UEFI KEK Certs ----------------- Microsoft Corporation KEK CA 2011 Microsoft Corporation KEK 2K CA 2023
UEFI DB Certs ----------------- Microsoft Corporation UEFI CA 2011 Microsoft Windows Production PCA 2011 Microsoft Option ROM UEFI CA 2023 Microsoft UEFI CA 2023 Windows UEFI CA 2023
UEFI DBX Certs ----------------- Microsoft Windows Production PCA 2011
EFI Files ----------------- Disk 3: Boot Manager [Windows UEFI CA 2023] is ALLOWED.
Registry: UEFICA2023Status = Updated [UEFI CA 2023 Status] Updated.
Registry: WindowsUEFICA2023Capable = 2 [Windows UEFI CA 2023] is in UEFI DB, and Windows is starting from CA 2023 Boot Manager.
Для продолжения нажмите любую клавишу . . .
--- И в реестре, где было "NotStarted", теперь стало "Updated". ===
ЦитатаKaradag ()
Вот Вам три ссылки, чтобы голова полностью пошла кругом. У меня так было.
Да-а-а... "Головоломка", и в прямом и в переносном смысле, еще та!!!
UEFI KEK Certs ----------------- Microsoft Corporation KEK CA 2011
UEFI DB Certs ----------------- Microsoft Corporation UEFI CA 2011 Microsoft Windows Production PCA 2011
UEFI DBX Certs -----------------
EFI Files ----------------- Disk 0: Boot Manager [Production PCA 2011] is ALLOWED.
Registry: UEFICA2023Status = Unknown t : Имя "t" не распознано как имя командлета, функции, файла сценария или выполняемой программы. Пр оверьте правильность написания имени, а также наличие и правильность пути, после чего повторите поп ытку. C:\Users\misha\Downloads\UEFICheck in RU\UEFICheck in RU\UEFICheck_RU.ps1:386 знак:1 + t + ~ + CategoryInfo : ObjectNotFound: (t:String) [], CommandNotFoundException + FullyQualifiedErrorId : CommandNotFoundException
[UEFI CA 2023 Status] Unknown.
Registry: WindowsUEFICA2023Capable = 0 [Windows UEFI CA 2023] is not in UEFI DB.
1. Прилетит ли само решение в последующих обновлениях без вмешательства пользователя?
2. Надо ли обновлять BIOS системной платы до последней версии, что бы 1 пункт сработал?
3. Это вопрос я нашёл на просторах интернета, поэтому цитирую его, что бы не изобретать велосипед: "Что произойдет, когда сертификаты истекут, а устройство не обновилось? Оно не загрузится? Будет сообщение об ошибке? Просто перестанет получать обновления загрузчика? Пользователю придется отключить Secure Boot, чтобы продолжать пользоваться ПК? Еще очень интересно, как они собираются решать проблему с миллионами неуправляемых потребительских ПК, у которых нет ИТ-команды, работающей над этим?" (с)
P.S. Посмотрел у себя в реестре. Я так понимаю, что значение там стоит правильное - для начала дальнейших действий?
Поскольку срок действия сертификатов безопасной загрузки скоро истекает, как это повлияет на старые компьютеры, поддерживающие безопасную загрузку, но никогда не получающие обновлений BIOS? У меня есть два тестовых компьютера с чипсетами X99 и X79 (ASUS).
Если ваш компьютер перестал получать обновления BIOS после 2023 года, вам, возможно, придётся использовать Windows 11 с отключенной функцией Secure Boot.
Windows прекрасно работает и без Secure Boot, но вы не получаете дополнительных преимуществ в плане безопасности (например, безопасности на основе виртуализации). Microsoft не может удалённо включать или отключать Secure Boot, поскольку это можно сделать только через меню BIOS. Возможно, позже в этом году они добавят предупреждение о том, что ваш компьютер небезопасен, но они позволят Windows 11 работать на компьютерах без включенной функции Secure Boot.
Как можно компенсировать отключение безопасной загрузки? По всей видимости, скомпрометированные загрузочные файлы не обнаруживаются после загрузки Windows, но можно ли создать флешку с ESET Security, загрузиться с неё и проверить скрытый раздел EFI? Или использовать специальные средства обнаружения в Windows Defender?
Сертификаты Secure Boot защищают не только загрузочный файл, но и разрешают выполнение любого встроенного кода UEFI до загрузки Windows или Linux. Руткит может внедриться в UEFI, поэтому он остаётся там даже после очистки диска и переустановки ОС.
Black Lotus — вполне реальная угроза, и после демонстрации эксплойта другие игроки, скорее всего, попытаются повторить эту технику.
Secure Boot существует потому, что мер безопасности, основанных на операционной системе, изначально недостаточно.
Как узнать, скомпрометировано ли устройство? Сейчас активно продвигается идея обновления сертификатов Secure Boot, но не будет ли в некоторых случаях уже слишком поздно?
Нет. Именно поэтому Microsoft приняла решение запретить сертификат Production PCA 2011. Это блокирует любой код руткитов, подписанный с использованием известной уязвимости в старом загрузчике Windows. Это радикальный шаг, поскольку он нарушает работу всех старых версий Windows, от W8 до W10 21H2, а также более старых версий Linux.
Microsoft не знает, насколько далеко зашли руткиты на основе PCA 2011, всё, что они могут сделать, это принять правильное решение о запрете сертификата.
В любом случае, сертификаты CA 2011 истекут и больше не смогут подписывать обновлённые загрузочные файлы, выпущенные после октября этого года. Поэтому, если в 2027 году потребуется исправить уязвимость в системе безопасности загрузки, ваш существующий UEFI не будет её поддерживать, поскольку её нельзя будет проверить с помощью существующих сертификатов.
Сертификат подписи остается в силе до тех пор, пока: 1. Вы добавили его в защищенное хранилище сертификатов (в Windows) или в BIOS (UEFI). 2. Сертификат не был отозван путем добавления в список отзыва. В Windows CRL — это список отзыва, который обновляется раз в неделю. Для UEFI это список DBX.
Это последнее на сегодня примерно на 8-00 утра.
Если сертификат является одновременно доверенным (хранится) и не отозван , то он проверяет любой файл, подписанный этим сертификатом в течение срока его действия .
Нормальный срок действия для PCA 2011 составляет от 2011 до 2026 года (15 лет). Когда срок действия сертификата истекает, его нельзя использовать для проверки файла, поскольку диапазон дат является неотъемлемым свойством любого сертификата подписи. Любой файл Windows, подписанный ранее в период с 2011 по конец 2026 года, будет действителен даже после октября 2026 года, поскольку он попадает в поддерживаемый диапазон дат.
Единственное, что может изменить этот факт, — это отозвать сертификат подписи (лишив доверия все эти файлы).
Если предположить, что Windows статична (обновлений больше нет), то ваши устаревшие сертификаты Windows и UEFI могут продолжать работать после 2026 года, даже с включенной функцией Secure Boot. Это совершенно законно. Проблема в том, что Windows не статична, и обновления всегда есть, пока поддерживается ваша версия. Как только Microsoft потребуется закрыть новую уязвимость в системе безопасности загрузки, необходимо выпустить новый файл.
PCA 2011 нельзя использовать для подписи этого нового файла после истечения срока действия PCA 2011. Поэтому требуется новый набор сертификатов-заменителей (CA 2023), который сбрасывает диапазон дат с 2023 по 2038 год (15 лет). Даже если бы вам не потребовалось отзывать CA 2011, для будущих исправлений безопасности потребуется действительный сертификат подписи, охватывающий будущие даты.
Надеюсь, история не повторится, и нам не придётся отменить CA 2023. Всем следовало бы извлечь горький урок из того, насколько провальным оказался этот запуск (как по вине Microsoft, так и по вине OEM-производителей), и улучшить процесс в будущем.
Вы когда-нибудь устанавливали устаревший драйвер устройства на более новую систему Windows? Вероятно, вы используете очень старый драйвер, который никогда не переписывался и не был переподписан актуальным сертификатом. Но как этот устаревший драйвер может считаться доверенным для более новых версий Windows?
Дело в том, что установщик драйвера устанавливает копию (теперь уже просроченного) сертификата поставщика в ваше хранилище сертификатов Windows. Поскольку вы наугад нажали кнопку «ОК», когда установщик попросил вас доверять сертификату поставщика (потому что все всегда нажимают «ОК»), то устаревший драйвер теперь считается доверенным. И драйвер, и соответствующий ему сертификат поставщика устарели, но он работает, поскольку вы согласились учитывать его в хранилище сертификатов.
Посмотрел у себя в реестре. Я так понимаю, что значение там стоит правильное - для начала дальнейших действий?
Что означает AvailableUpdates = 0
Значение 0 говорит о том, что для Secure Boot нет доступных обновлений DBX/DB/KEK/PK, которые система могла бы применить. То есть: • нет новых обновлений списка запрещённых загрузчиков (DBX), • нет обновлений ключей Secure Boot, • нет ожидающих UEFI‑капсул, • нет флагов, указывающих на необходимость обновления Secure Boot. Это нормальное состояние, особенно если: • система недавно обновлялась, • DBX уже актуален, • производитель оборудования не выпускал новых UEFI‑обновлений. AvailableUpdates = 0 - это абсолютно нормальное состояние работающего Secure Boot.
Совпадение или нет, пока не знаю. Вчера "начисто" установил 26200.7623, скачанную MCT и записанную Rufus-ом с "галкой" на Сертификате. Всё как обычно, свой "джентельменский" набор. Успел сохранить "резервку" до 21:00. И, с хорошим настроением, в 21:01 нажал Проверить обновления... Скачивание 26200.7840... 100%. Установка... 100%. Приготовился курсором нажать кнопочку "Перезагрузить", которая вот-вот должна появиться и... Облом!!! "Ошибка" и "Повторить". Пока никакие "sfc" и т.п. резултата не дали. --- Вот я и думаю, а не Сертификат ли, обновленный "вручную", привел к такому "облому"? Ведь параллельно с этим обновлялся ноутбук и на нем все прошло без запинки!!! === Правда еще не все способы исправления применил. Завтра продолжу "исправление"...
Да. А он у меня же через БИОС обновлён, в т.ч с новой прошивкой. Поэтому, как вернуть старый сертификат, я даже не то что не пробовал, а даже не задумывался об этом.
вернуть старый сертификат, я даже не то что не пробовал, а даже не задумывался об этом.
========================== Но вот РЕШЕНИЕ!!! Не дождался утра и еще один вариант: - "Полировка" ISO-образом 26200.7623 со снятой "галкой" проверки обновлений... - Перезагрузка... - Проверка обновлений скачивает, как всегда (почти) после обновления или "полировки" с ISO-образа, обновление с этим же номером 26200.7623... - Перезагрузка... - Проверка обновлений почему-то находит и скачивает не 26200.7840, а предыдущее необязательное 26200.7705... - Перезагрузка... - Вот теперь проверка обновлений скачивает уже 26200.7840... 100%. Установка... 100%. Приготовился курсором нажать кнопочку "Перезагрузить", которая вот-вот должна появиться и... ПОЯВИЛАСЬ!!! ЖМУ!!! - Перезагрузка... - 26200.7840 !!! --- В промежутках между этими этапами ничего не предпринимал, только то, как написал. === Похоже Сертификат "не при делах", т.е. это было не из-за него.
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!
